APP-arentemente innocue: privacy e sicurezza del cittadino, violata da una app

:
6 aprile 2019

Alcune app sono salite alla ribalta poiché, registrerebbero tutto quello che fanno gli utenti, col loro smartphone. Apple fu rapidissima, bloccando le app che spiavano i comportamenti degli utenti a loro insaputa. Le linee guida dell’azienda americana, richiedono che le app necessitano di un esplicito consenso e forniscano una chiara indicazione quando è in atto una registrazione, o altra attività di salvataggio delle azioni degli utenti. Fu così che da Cupertino si decise di far prevalere su tutto, il principio della privacy, rimuovendo arbitrariamente i certificati iOS per un’applicazione interna impiegata da Facebook, per raccogliere informazioni sugli utenti.

Per poter installare l’applicazione sui device iOS degli utenti contattati dal social media, non essendo il software disponibile su App Store, il team di Facebook avrebbe utilizzato un software che permetteva appunto alle società di testare e distribuire software al di fuori di App Store.

Sfruttando questo programma per scopi oltre alle limitazioni sulla privacy previste da Apple, il social network Facebook, ha usato una app di raccolta di dati, una chiara violazione degli accordi presi con Apple.

Era chiaro alle persone che avevano partecipato a questo “esperimento”, che la manifestazione del proprio consenso alla raccolta dei propri dati, veniva ricompensato, ma indipendentemente dalla volontarietà dei partecipanti alla ricerca di Facebook, rimane comunque il fatto che l’applicazione utilizza software di analisi che raccoglie e invia dati utente/dispositivo a terze parti, senza il consenso dell’utente. Le app devono richiedere un esplicito consenso e fornire una chiara indicazione ogni volta che avvengono attività di registrazione, logging o salvataggio dell’attività dell’utente.

La tecnologia utilizzata permette agli inserzionisti di ricostruire e “rivedere la sessione” di tutto quel che ha fatto l’utente nella loro app. Pulsanti premuti, input da tastiera (compresi dati personali, password e numero di carta di credito), selezioni nella mappa e qualunque altro tipo di interazione: in pratica, parliamo della possibilità di “conoscere in tempo reale cosa fanno i clienti e perché.”

Tra le app coinvolte troviamo:

  • Abercrombie & Fitch;
  • Hotels.com,
  • Air Canada,
  • Hollister,
  • Expedia e
  • Singapore Airlines.

Il vero problema è a monte. Nessuna delle società coinvolte ha avvisato dello stato delle cose, né ha chiesto l’ autorizzazione esplicita ad essere spiati con tanta precisione, ma soprattutto, non c’è modo allo stato attuale di sapere chi accede ai nostri dati e per farci cosa. È un atto di fede.

E non pensiate che sia un andazzo poco diffuso, perché a mettere in pratica simili tecniche di marketing, ci sono tante società, con tecnologie analoghe, che operano anche  in ambiente ANDROID, per catturare questi dati.

Proprio in questi giorni è scoppiato il caso EXODUS.

Un software distribuito negli ultimi due anni sui dispositivi Android, attraverso almeno una ventina di app scaricabili dalla piattaforma ufficiale Play Store, prima che il colosso di Mountain View le rimuovesse a seguito di segnalazioni.

Diverse migliaia di utenti, sarebbero stati infettati da uno spyware forse sviluppato da un’azienda italiana.

Il programma secondo varie analisi effettuate nel tempo, è uno spyware e sarebbe stato progettato per assomigliare a innocue applicazioni per ricevere promozioni e offerte di marketing da operatori telefonici italiani, o per migliorare le performance del dispositivo.

Una volta installata una di queste app, lo spyware in questione consentirebbe, a chiunque lo controlli, di monitorare e gestire a distanza lo smartphone dell’utente per effettuare registrazioni ambientali e delle chiamate, ottenere la rubrica o la posizione Gps, visionare i messaggi di testo, di WhatsApp o Messenger e altro ancora.

Inoltre, l’applicazione malevola, apre anche una porta che permette agli operatori del malware di eseguire direttamente dei comandi al telefono infetto ed è inoltre esposta e accessibile a chiunque sia connesso alla stessa rete Wi-Fi a cui è connesso il dispositivo. Questo vuol dire che chiunque nelle vicinanze potrebbe hackerare il dispositivo infetto.

Un’altro problema, è che il software “spione” sarebbe privo di tutte le protezioni atte a garantire che non colpisca persone estranee ad eventuali indagini, perché esiste anche l’ipotesi che l’applicazione fosse stata ideata per scopi investigativi.

La vicenda in questione è in definitiva ancora tutta da chiarire ed è per questo difficile commentarla. Ma, più in generale, il tema delle intercettazioni e dell’utilizzo dei trojan è da tempo al centro del dibattito tra gli esperti. Viene spesso ricordata, a questo proposito, la proposta di legge (mai passata) per regolamentare il settore.

Dunque, quel che auspichiamo è che Apple, Google, Facebook e tutte le maggiori piattaforme digitali, intervengano per mettere fine a questo tipo di abusi.  Speriamo che creino degli strumenti all’interno del sistema operativo che permettano all’utente di essere informato sulle attività nascoste del proprio dispositivo, sia esso pc, smartphone o tablet, potendo inoltre disattivare il servizio non desiderato ed in violazione della propria privacy.

La Procura della Repubblica di Napoli, con un comunicato stampa del 1 aprile (e non era uno scherzo) dichiarava che:

–          era avviata una complessa attività di indagine finalizzata all’accertamento di gravi reati collegati alla gestione di software utilizzati per l’intercettazione di comunicazioni telematiche con captatore informatico.

–          Le attività investigative avevano portato ad un decreto di sequestro preventivo delle aziende di E-Surv s.r.l. e STM s.r.1..

–          La stessa attività aveva portato al definitivo spegnimento, con cessazione di ogni attività, della piattaforma informatica Exodus.

–          Sono state eseguite inoltre attività di perquisizione, sequestro ed acquisizione informativa in numerosi luoghi del territorio nazionale ed avviati gli opportuni canali di cooperazione internazionale necessari per riscontrare l’effettiva presenza di app infette sul web e la compiuta ricostruzione delle attività di gestione, anche in cloud, di Exodus e dei dati in tale piattaforma confluiti.

Per risolvere questi problemi sarebbe già sufficiente ripartire e migliorare il regolamento tecnico emanato dal Ministero della Giustizia dell’aprile del 2018 sulle intercettazioni ed il provvedimento del Garante privacy di qualche anno fa per vincolare tutte le società che vendono questi software, di adottare misure tecniche di sicurezza più stringenti ed efficaci, con soluzioni tipiche secondo standard internazionali.

TAG: Android, avv Monica Mandico, gdpr, malware, monica mandico, procura napoli, spyware
CAT: App & Software, Napoli

Nessun commento

Devi fare per commentare, è semplice e veloce.

CARICAMENTO...